Expertos del Centro de Investigación de IA de Kaspersky han descubierto que los ciberdelincuentes utilizan cada vez más modelos de lenguaje a gran escala (LLM, por sus siglas en inglés) para generar contenido en ataques de phishing y llevar a cabo grandes estafas.
A medida que los actores de amenazas intentan crear webs fraudulentas en grandes volúmenes, a menudo dejan huellas distintivas, como frases específicas de IA, que diferencian estas páginas de aquellas creadas manualmente. Hasta ahora, la mayoría de los ejemplos de phishing observados por Kaspersky tienen como objetivo los usuarios con carteras de criptomonedas.
Los expertos de Kaspersky analizaron una muestra de recursos, identificando características clave que ayudan a distinguir y detectar casos en los que se utilizó IA para generar contenido o incluso páginas web completas de phishing y estafas. Uno de los signos destacados del texto generado por LLM es la presencia de descargos de responsabilidad y negativas a ejecutar comandos, incluidas frases como: “Como modelo de lenguaje de IA…”. Por ejemplo, dos páginas de phishing dirigidas a usuarios de KuCoin contienen este tipo de lenguaje.
A/ En un caso, el modelo se niega a actuar como motor de búsqueda. B/ En otro caso, el modelo afirma que no puede realizar inicios de sesión en webs externas.
Otro indicador distintivo del uso de modelos de lenguaje es la presencia de cláusulas concesivas, como: “Si bien no puedo hacer exactamente lo que deseas, puedo intentar algo similar”. En otros ejemplos dirigidos a usuarios de Gemini y Exodus, el LLM se niega a proporcionar instrucciones detalladas de inicio de sesión.
Ejemplo de páginas de phishing dirigidas a usuarios de Gemini y Exodus, creadas con LLMs
“Con los LLM, los atacantes pueden automatizar la creación de docenas o incluso cientos de páginas web de phishing y estafa con contenido único y de alta calidad. Anteriormente, esto requería esfuerzo manual, pero ahora la IA puede ayudar a los actores de amenazas a generar tal contenido automáticamente”, explica Vladislav Tushkanov, gerente del grupo de desarrollo de investigación de Kaspersky.
Los LLM se pueden utilizar para crear no solo bloques de texto, sino páginas web completas, con artefactos que aparecen tanto en el texto como en áreas como metaetiquetas: fragmentos de texto que describen el contenido de una página web y aparecen en su código HTML.
Página de phishing imitando al sitio de Polygon
Metaetiquetas de esta página de phishing, mostrando un mensaje de un modelo de IA, donde se indica que la longitud del texto superó el límite del modelo
Existen otros indicadores de uso de IA en la creación de webs fraudulentas. Algunos modelos, por ejemplo, tienden a usar frases específicas como “explorar”, “en el panorama en constante evolución” y “en el mundo en cambio constante”. Aunque estos términos no se consideran indicadores fuertes de contenido generado por IA, pueden verse como señales.
A/ Frases como “en el dinámico mundo de las criptomonedas” y “exploremos” en una página de phishing dirigida a usuarios de Ledger. B/ Phishing dirigido a usuarios de Bitbuy, con frases como “el mundo de las criptomonedas en constante evolución” y un ensayo sobre “navegar por los mares de las criptomonedas”.
Otra característica del texto generado por un modelo de lenguaje es la indicación de hasta dónde llega el conocimiento del modelo sobre el mundo. El modelo suele expresar esta limitación usando frases como “según mi última actualización en enero de 2023”. El texto generado por LLM se combina a menudo con tácticas que complican la detección de páginas de phishing para las herramientas de ciberseguridad. Por ejemplo, los atacantes pueden usar símbolos Unicode no estándar, como aquellos con signos diacríticos o de notación matemática, para ofuscar el texto y evitar la detección por sistemas basados en reglas.
Página de phishing que suplanta a Crypto[.]com, con diacríticos en “Login” y una “m” con cola (ɱ)
“Los modelos de lenguaje de gran escala están mejorando, y los ciberdelincuentes están explorando formas de aplicar esta tecnología para fines maliciosos. Sin embargo, los errores ocasionales brindan información sobre su uso de estas herramientas, concretamente sobre el creciente alcance de la automatización. Con futuros avances, distinguir el contenido generado por IA del texto escrito por humanos podría volverse más desafiante, lo que hace crucial utilizar soluciones de seguridad avanzadas que analicen información textual junto con metadatos y otros indicadores de fraude”, señaló Vladislav Tushkanov.
En este sentido, los expertos dan algunas recomendaciones de protección contra el phishing:
- Verifica la ortografía de los hipervínculos. A veces, los correos electrónicos y páginas web de phishing parecen exactamente igual que los sitios oficiales, dependiendo cómo haya sido elaborada la trampa por parte de los ciberdelincuentes. Sin embargo, es probable que los hipervínculos contengan errores ortográficos o te redirijan a otro lugar.
- Introduce la dirección web directamente en el navegador. Si un correo electrónico contiene un enlace, en lugar de acceder al mismo directamente, revísalo para verificar si parece correcto y busca el oficial. Las webs peligrosas pueden parecer idénticas a las legítimas.
- Adquiere una solución de seguridad actual, ya que estas proporcionan características de navegación segura que protegen contra páginas peligrosas, descargas y extensiones.
